I cyberattacchi che prendono di mira Active Directory sono in aumento, mettendo sotto pressione i team che si occupano di sicurezza delle identità e di Active Directory (AD) che devono monitorare il panorama delle minacce incentrate su AD in continuo cambiamento. Per aiutare i professionisti IT a comprendere meglio e a difendersi dagli attacchi che coinvolgono AD, il team di ricerca di Semperis offre questa carrellata mensile di recenti cyberattacchi che hanno utilizzato AD per introdurre o propagare malware.
Questo mese, il team di ricerca di Semperis evidenzia i nuovi attacchi di vari gruppi di ransomware affermati: Vice Society continua la sua campagna contro enti pubblici, tra cui scuole e servizi antincendio, Sandworm distribuisce varie forme di malware per la cancellazione dei dati su obiettivi ucraini e LockBit colpisce Royal Mail e l'azienda ferroviaria e di locomotive Wabtec.
Il malware SwiftSlicer, attribuito a Sandworm, colpisce l'Ucraina per la cancellazione dei dati
SwiftSlicer, un nuovo malware che cancella i dati e sovrascrive i file cruciali utilizzati dal sistema operativo Windows, è stato utilizzato in un attacco contro l'Ucraina attribuito a Sandworm, un gruppo di criminalità informatica che lavora per il governo russo. Il gruppo Sandworm ha utilizzato i criteri di gruppo di Active Directory per lanciare SwiftSlicer.
Sandworm attacca l'agenzia di stampa ucraina con data wiper
Sandworm ha utilizzato cinque tipi di wiperware nel tentativo di distruggere i sistemi di dati di Ukrinform, l'agenzia di stampa nazionale ucraina. Il malware comprendeva CaddyWiper, ZeroWipe e SDelete, tutti mirati al sistema operativo Windows. Gli aggressori hanno utilizzato i criteri di gruppo di Active Directory per lanciare il malware CaddyWiper. Sebbene l'attacco abbia distrutto i file su alcuni sistemi di archiviazione dati, non è riuscito a interrompere le operazioni di Ukrinform.
La Vice Society continua gli attacchi legati a AD alle organizzazioni del settore pubblico globale
La banda di ransomware Vice Society ha continuato la sua campagna contro scuole e università con un attacco all'Università di Duisburg-Essen, in Germania, che ha interrotto le operazioni informatiche ed esposto dati personali di studenti e personale. Vice Society ha anche rivendicato la responsabilità di un attacco al Fire Rescue Victoria in Australia che ha colpito i servizi interni e compromesso i dati dei dipendenti. Vice Society, che utilizza ransomware come BlackCat per compromettere Active Directory e ottenere il controllo dell'ambiente di rete dell'organizzazione vittima, è anche responsabile dell'attacco dell'estate 2022 al Los Angeles Unified School District, il secondo distretto scolastico più grande degli Stati Uniti.
La banda del ransomware LockBit è collegata agli attacchi alla Royal Mail e all'azienda ferroviaria e di locomotive Wabtec
Un crittografo ransomware LockBit è stato utilizzato in un attacco alla Royal Mail, il principale servizio di consegna della posta del Regno Unito, che ha causato un'interruzione dei servizi di esportazione internazionali. LockBit ha anche preso di mira il produttore ferroviario e di locomotive statunitense Wabtec in un attacco che ha fatto trapelare informazioni personali e sensibili dopo che Wabtec si è rifiutata di pagare il riscatto. Il gruppo LockBit utilizza varie tattiche, tecniche e procedure (TTP) per compromettere le organizzazioni vittime degli attachi, tra cui l'abuso dei criteri di gruppo AD per crittografare i dispositivi nei domini Windows.
Altre risorse
